tencent cloud

PrevNext

文档反馈

请输入关键字

Recent Pages

文档
容器服务
    文档
    Download PDF

    使用自定义策略授权

    最后更新时间:2024-12-11 18:50:30
    下载PDF
      本文介绍如何自定义配置腾讯云容器服务 TKE 的自定义策略,授予子账号特定权限。您可参考文本并根据实际业务诉求进行配置。

      策略语法说明

      策略语法结构如下图所示:
      
      
      action:表示接口。
      resource:表示资源。
      说明:
      您可自行编写策略语法,或通过访问管理 CAM 策略生成器创建自定义策略。可结合以下示例进行自定义策略配置:
      配置子账号对单个 TKE 集群的管理权限
      通过标签为子账号配置批量集群的全读写权限

      TKE 接口权限配置

      本节提供了集群、节点模块的多个功能所包含的子功能、对应云 API 接口、间接调用接口、权限控制资源级别以及 Action 字段展示相关信息。

      集群模块

      功能接口对照表如下:
        功能 
      包含子功能
      对应云 API 接口
      间接调用接口
      权限控制资源级别
      Action 字段
      创建空集群
      Kubernetes 版本选择
      运行时组件选择
      选择 VPC 网络
      设置容器网络
      自定义镜像选择
      Ipvs 设置
      tke:CreateCluster
      cam:GetRole account:DescribeUserData account:DescribeWhiteList tag:GetTagKeys cvm:GetVmConfigQuota vpc:DescribeVpcEx cvm:DescribeImages
      创建集群是接口级别权限控制
      获取 VPC 列表,需要 VPC 的资源权限
      "tke:CreateCluster", "cam:GetRole", "tag:GetTagKeys", "cvm:GetVmConfigQuota", "vpc:DescribeVpcEx", "cvm:DescribeImages"
      使用已有 CVM 创建托管集群
      创建空集群包含功能
      将已有 CVM 作为 Node
      挂载安全组
      挂载数据盘
      开启自动调节
      cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs
      创建集群是接口级别权限控制
      获取 CVM 列表,需要 CVM 的资源权限
      "tke:CreateCluster", "cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs"
      使用已有 CVM 创建独立集群
      创建空集群包含功能
      将已有 CVM 作为 Node
      将已有 CVM 作为 Master&ETCD
      挂载安全组
      挂载数据盘
      开启自动调节
      cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs
      创建集群是接口级别权限控制
      获取 VPC 列表,需要 VPC 的资源权限
      获取 CVM 列表,需要 CVM 的资源权限
      "tke:CreateCluster", "cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs"
      自动新建 CVM 创建托管集群
      创建空集群包含功能
      购买 CVM 作为 node
      挂载安全组
      挂载数据盘
      开启自动调节
      cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstances vpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages
      创建集群是接口级别权限控制
      获取 VPC 列表,需要 VPC 的资源权限
      "cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:CreateCluster"
      自动新建 CVM 创建独立集群
      创建空集群包含功能
      购买 CVM 作为 Node
      购买 CVM 作为 Master&ETCD
      挂载安全组
      挂载数据盘
      开启自动调节
      cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstances vpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages
      创建集群是接口级别权限控制
      获取 VPC 列表,需要 VPC 的资源权限
      "cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:CreateCluster"
      查询集群列表
      -
      tke:DescribeClusters
      -
      获取集群列表,需要集群的资源权限
      "tke:DescribeClusters"
      显示集群凭证
      -
      tke:DescribeClusterSecurity
      -
      显示集群凭证,需要集群的资源权限
      "tke:DescribeClusterSecurity"
      开启/关闭集群内/外网访问地址
      创建托管集群外网访问端口
      创建集群访问端口
      修改托管集群外网端口的安全策略
      查询托管集群开启外网端口流程状态
      删除托管集群外网访问端口
      删除集群访问端口
      tke:CreateClusterEndpointVip tke:CreateClusterEndpoint tke:ModifyClusterEndpointSP tke:DescribeClusterEndpointVipStatus tke:DescribeClusterEndpointStatus tke:DeleteClusterEndpointVip tke:DeleteClusterEndpoint
      -
      开启关闭集群访问,需要集群资源的权限
      -
      删除集群
      -
      tke:DeleteCluster
      tke:DescribeClusterInstances tke:DescribeInstancesVersion tke:DescribeClusterStatus
      删除集群,需要集群的资源权限
      "tke:DescribeClusterInstances", "tke:DescribeInstancesVersion", "tke:DescribeClusterStatus", "tke:DeleteCluster"
      

      节点模块

      功能接口对照表如下:
        功能 
      包含子功能
      对应云 API 接口
      间接调用接口
      权限控制资源级别
      Atction 字段
      添加已有节点
      将已有节点加入到集群
      重新设置数据盘
      设置安全组
      tke:AddExistedInstances
      cvm:DescribeInstances vpc:DescribeSubnetEx cvm:DescribeSecurityGroups vpc:DescribeVpcEx cvm:DescribeImages cvm:ResetInstance cvm:DescribeKeyPairs cvm:ModifyInstancesAttribute tke:DescribeClusters
      添加已有节点、需要对应集群的资源权限
      获取 CVM 列表,需要 CVM 的资源权限
      "cvm:DescribeInstances", "vpc:DescribeSubnetEx", "cvm:DescribeSecurityGroups", "vpc:DescribeVpcEx", "cvm:DescribeImages", "cvm:ResetInstance", "cvm:DescribeKeyPairs", "tke:DescribeClusters", "tke:AddExistedInstances"
      新建节点
      新建节点加入到集群
      重新设置数据盘
      设置安全组
      tke:CreateClusterInstances
      cvm:DescribeSecurityGroups cvm:DescribeKeyPairs cvm:RunInstances vpc:DescribeSubnetEx vpc:DescribeVpcEx cvm:DescribeImages tke:DescribeClusters
      新建节点、需要对应集群的资源权限
      "cvm:DescribeSecurityGroups", "cvm:DescribeKeyPairs", "cvm:RunInstances", "vpc:DescribeSubnetEx", "vpc:DescribeVpcEx", "cvm:DescribeImages", "tke:DescribeClusters"
      节点列表
      查看集群节点列表
      tke:DescribeClusterInstances
      cvm:DescribeInstances tke:DescribeClusters
      查看节点列表需要对应集群的资源权限
      获取 CVM 列表,需要 CVM 的资源权限
      "cvm:DescribeInstances", "tke:DescribeClusters", "tke:DescribeClusterInstances"
      移出节点
      -
      tke:DeleteClusterInstances
      cvm:TerminateInstances tke:DescribeClusters
      查看节点列表需要对应集群的资源权限
      获取 CVM 列表,需要 CVM 的资源权限
      删除节点,需要对应节点的销毁策略
      "cvm:TerminateInstances", "tke:DescribeClusters", "tke:DeleteClusterInstances"
      
      联系我们

      联系我们,为您的业务提供专属服务。

      联系我们
      技术支持

      如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

      提交工单
      7x24 电话支持
      Copyright © 2013-2024 Tencent Cloud. All Rights Reserved.
      隐私条款服务条款缓存条款